5.1.2.4评估性合规要求分析

5.1.3尽责性风险评估

出于审慎经营、声誉维护、品牌建立等目的，组织往往选取可能对个人合法权益产生高风险的个人 信息处理活动，开展尽责性风险评估。此种风险评估的目标，是在符合相关法律、法规和标准的基线要 求之上，尽可能降低对个人信息主体合法权益的不利影响。 注：高风险个人信息处理活动示例可参考附录B。 组织可使用本标准提供的个人信息安全影响评估方法，对高风险个人信息处理活动进行评估，进 步降低个人信息处理活动的安全风险

体育标准5.2.1组建评估团队

组织确认并任命负责进行个人信息安全影响评估的人员（评估人）。此外，组织还要指定人员负责 签署评估报告。 评估人明确规定个人信息安全影响评估报告的提交对象、个人信息安全影响评估的时间段、是否会 公布评估报告或其摘要。 如有必要评估人需申请团队支持，例如由技术部门、相关业务部门及法律部门的代表构成的团队， 组织内部个人信息安全影响评估需要组织管理层给予长期支持。

管理层需为个人信息安全影响评估团队配置必要资源

5.2.2制定评估计划

计划需清楚规定完成个人信息安全影响评估报告所进行的工作、评估任务分工、评估计划表。此 外，计划还需考虑到待评估场景中止或撤销的情况。具体操作时考虑以下方面： a）人员、技能、经验及能力； b）执行各项任务所需时间； c）进行评估每一步骤所需资源，如自动化的评估工具等。 注：涉及的场景复杂、耗用资源多时，建议对原有方案进行更新迭代，针对常规评估活动或涉及待评估场景复杂度 低等情形时，可沿用原有计划或简化该步骤。 如涉及相关方咨询，计划需说明在何种情况下需要咨询相关方、将咨询哪些人员以及具体的咨询方 式（例如通过公众意见调查、研讨会、焦点小组、公众听证会、线上体验等等）

5.2.3确定评估对象和范围

从以下三个方面描述评估的对象和范围： a）描述系统基本信息，包括但不限于： 1）处理个人信息的目的和类型； 2） 对支撑当前或未来业务流程的信息系统的描述： 3） 履行信息系统管理职责的部门或相关人员，以及其职责或履行水平： 关于个人信息处理方式、处理范围的说明、有权访问个人信息的角色等； 5） 如预计委托第三方处理，或与第三方共享、转让信息系统的个人信息，说明上述第三方身 份、第三方接入信息系统的情况等。 b）描述系统设计信息，包括但不限于： 1）功能（或逻辑）结构概览； 物理结构概览； 3） 包含个人信息的信息系统数据库、表格和字段的清单和结构 4） 按组件和接口划分的数据流示意图； 5） 个人信息生命周期的数据流示意图，例如个人信息的收集、存储、使用和共享等； 描述通知个人信息主体的时间节点以及取得个人信息主体同意的时间节点和工作流 程图； 可对外传输个人信息的接口清单； 8）个人信息处理过程中的安全措施， C 描述处理流程和程序信息，包括但不限于： 信息系统的身份与用户管理概念： 操作概念，包括信息系统或其中部分结构采用现场运行、外部托管，或云外包的方式； 3 支持概念，包括列示可访问个人信息的第三方范围、其所拥有的个人信息访问权限、其可 访问个人信息的位置等； 4） 记录概念，包括已登入信息的保存计划； 5） 备份与恢复计划； 6 元数据的保护与管理； 数据保存与删除计划及存储介质的处置

5.2.4制定相关方咨询计

相关方包括但不限于：

相关方包括但不限于：

组织在针对个人信息处理过程进行全面的调研后，形成清晰的数据清单及数据映射图表。 数据映射分析阶段需结合个人信息处理的具体场景。调研内容包括个人信息收集、存储、使用、转 上、共享、删除等环节涉及的个人信息类型、处理目的、具体实现方式等，以及个人信息处理过程涉及的 资源（如内部信息系统）和相关方（如个人信息处理者、平台经营者、外部服务供应商、云服务商等第三 方）。调研过程中尽可能考虑已下线系统、系统数据合并、企业收购、并购及全球化扩张等情况。 梳理数据映射分析的结果时，根据个人信息的类型、敏感程度、收集场景、处理方式、涉及相关方等 要素，对个人信息处理活动进行分类，并描述每类个人信息处理活动的具体情形，便于后续分类进行影 响分析和风险评价， 注：开展数据映射分析,可参考附录 C中表 C.1 和表 C.2

风险源识别是为了分析个人信息处理活动面临哪些威胁源，是否缺乏足够的安全措施，导致存在脆 弱性而引发安全事件。决定个人信息安全事件发生的要素很多，就威胁源而言，有内部威胁源，也有外 部威胁源，有恶意人员导致的数据被窃取等事件，也有非恶意人员无意中导致的数据泄露等事件；就脆 弱性而言，有物理环境影响导致的数据毁损，有技术因素导致的数据泄露、篡改、丢失等事件，也有管理 不当引起的滥用等事件

GB/T39335—2020

5.5个人权益影响分析

5.5.1个人权益维度

个人权益影响分析指分析特定的个人信息处理活动是否会对个人信息主体合法权益产生影响，以 及可能产生何种影响。个人权益影响概括可分为“限制个人自主决定权”“引发差别性待遇”“个人名誉 受损或遭受精神压力”“人身财产受损”四个维度： a）限制个人自主决定权，例如被强迫执行不愿执行的操作、缺乏相关知识或缺少相关渠道更正个 人信息、无法选择拒绝个性化广告的推送、被蓄意推送影响个人价值观判断的资讯等； b）引发差别性待遇，例如因疾病、婚史、学籍等信息泄露造成的针对个人权利的歧视，因个人消费

GB/T 393352020

5.5.2个人权益影响分析过程

组织可根据数据映射分析结果及确定需要评估的个人信息处理活动，结合相关法律、法规、标准的 要求或组织自定义的个人信息安全目标，分析个人信息处理活动全生命周期或特定处理行为对个人权 益可能产生的影响，以及个人信息泄露、毁损、丢失、滥用等对个人权益可能产生的影响，以审视是否存 侵害个人信息主体权益的风险。 个人权益影响分析过程一般包含对个人信息敏感程度分析、个人信息处理活动特点分析、个人信息 处理活动问题分析以及影响程度分析四个阶段： a）在个人信息敏感程度分析阶段，组织可参照国家有关法律、法规、标准，依据数据映射分析结 果，分析个人信息的敏感程度对个人权益可能产生的影响，例如健康生理信息的泄露、滥用等 可能会对个人生理、心理产生较严重的影响； b）在个人信息处理活动特点分析阶段，组织可参照与国家有关法律、法规、标准，依据数据映射分 析结果，分析个人信息处理活动是否涉及限制个人自主决定权、引发差别性待遇、个人名誉受 损或遭受精神压力、人身财产受损等，例如公开披露个人经历的行为可能会对个人声誉产生 影响； C 在个人信息处理活动问题分析阶段，组织可参照与国家有关法律、法规、标准，依据数据映射分 析结果，分析个人信息处理活动可能存在的弱点、差距和问题，其中5.4b)中的对个人信息流程 规范性的分析结果可以支撑该阶段的分析过程，对同题严重程度的分析有助于分析个人权益 的影响程度； d）在个人权益影响程度分析阶段，组织可结合前几个阶段的分析结果，综合分析个人信息处理活 动对个人权益可能造成的影响，及其严重程度。 注：个人权益影响程度评估可参考D.2

5.6安全风险综合分析

进行安全风险综合分析时，可参照4.5中的基本原理，采取以下步骤 a） 参照5.4，分析已实施的安全措施、相关方、处理规模等要素，评价安全事件发生的可能性等级； b 参照5.5，分析可能发生的安全事件会对个人权益产生何种影响，并评价对个人权益影响的程 度等级； c）综合考虑安全事件可能性和个人权益影响程度两个要素，综合分析得出个人信息处理活动的 安全风险等级， 注：安全风险分析的具体过程和风险等级的判定可参考D.3，安全风险分析的具体过程可参考使用表C.3、表C.4和 表C.5。 在完成针对特定个人信息处理活动影响评估之后，组织可综合针对所有相关个人信息处理活动的 估结果，形成对整个评估对象（如业务部门、具体项目、具体合作等）的风险等级

评估报告的内容通常包括：个人信息保护专员的审批页面、评估报告适用范围、实施评估及撰写 人员信息、参考的法律、法规和标准、个人信息影响评估对象（明确涉及的个人敏感信息）、评估 涉及的相关方等，以及个人权益影响分析结果，安全保护措施分析结果、安全事件发生的可能性分

GB/T39335—2020

结果、风险判定的准则、合规性分析结果、风险分析过程及结果、风险处置建议等。

5.8风险处置和持续改进

根据评估结果，组织可选取并实施相应的安全控制措施进行风险处置。通常情况下，可根据风险的 等级，采取立即处置、限期处置、权衡影响和成本后处置，接受风险等处置方式。 组织需持续跟踪风险处置的落实情况，评估剩余风险，将风险控制在可接受的范围内。此外，还可 将评估结果用于下一次个人信息安全影响评估工作

5.9制定报告发布策略

附录A （资料性附录） 评估性合规的示例及评估要点

A.2个人信息出境安全评估

A.3个人信息处理且的变更前的影响评估

A.4个人信息匿名化和去标识化效果评估

匿名化和去标识化对个人信息进行了技术处理，使其在不借助额外信息的情况下，无法识别个人信 息主体。但数据接收方可能会借助于额外的信息以及技术手段，进行重标识攻击，从而将去标识化的数 据集归因到原始个人信息主体或一组个人信息主体。 常见的用于重标识的方法如下： 筛选：基于是否能唯一确定一个个人信息主体，将属于一个个人信息主体的记录筛选出来； 关联：将不同数据集中关于相同个人信息主体的信息关联； 推断：通过其他属性的值以一定概率推断出一个属性的值。 评估个人信息匿名化和去标识化效果时，可充分考虑以下要素：

GB/T39335—2020

个人信息匿名化和去标识化过程的规范性，所采用技术的通用性 匿名化后的个人信息是否为统计型结果； 去标识化后的个人信息是否能够达到使用目的； 匿名化和去标识化后的个人信息使用场景； 如委托第三方进行去标识化或暨名化时，需评估其采用的方案及数据安全保障能力； 能否在公开渠道或数据交易组织获得类似的个人信息； 未经去标识化或匿名化处理保留的个人信息类型和内容的特殊性

人信息委托处理、转让、共享或公开披露前的影

在对个人信息进行委托处理、转让、共享和公开披露前，开展个人信息安全影响评估，评估的内容包 但不限于以下方面： 个人信息的类型、数量、敏感程度等； 是否向个人信息主体告知了转让、共享、公开披露的基本情况，并征得个人信息主体的明示授 权同意； 数据发送方的安全管理保障和安全技术保障能力； 数据接收方的安全管理保障和安全技术保障能力（不包括公开披露）； 数据接收方可能会开展的个人信息处理活动，或公开披露的个人信息可能会被便用的个人信 息处理场景； 个人信息是否进行过去标识化处理； 发生个人信息安全事件后的补救措施； 数据接收方所能响应个人信息主体的请求的范围如：访尚、更正删除等

A.6确定个人信息安全事件处置方案的评估

发生个人信息安全事件后，组织需及时评估事件可能造成的影响，并采取必要措施控制事态，消除 急患。评估影响时，可充分考虑以下因素： 个人信息的类型、数量、敏感程度、涉及的个人信息主体数量等； 发生事件的信息系统状况，对其他互联系统的影响； 已采取或将要采取的处置措施及措施的有效性： 对个人信息主体权益造成的直接影响和长期影响 向个人信息主体告知事件的方式和内容； 是否达到《国家网络安全事件应急预案》等有关规定的上报要求。

A.7使用自动化决策方式处理个人信息的评估

GB/T39335—2020

附录B （资料性附录） 高风险的个人信息处理活动示例 个人信息处理活动自身可能涉及对个人信息主体权益影响及相应风险较高的情况下，需开展个人 信息安全影响评估，可能产生高风险的个人信息处理活动及场景示例见表B.1

附录B （资料性附录） 高风险的个人信息处理活动示例

个人信息处理活动自身可能涉及对个人信息主体权益影响及相应风险较高的情况下，需开展个 安全影响评估，可能产生高风险的个人信息处理活动及场景示例见表B.1。

表B.1高风险的个人信息处理活动及场景示例

判断个人信息处理活动是否与上述场景相关，需考虑贯穿数据映射分析、合规差距分析 电涉及上述情形，可针对以上场景评估影响和风险，同时重视个人信息主体代表等相关方的 保障评估的准确性。

个人信息处理活动是否与上述场景相关，需考虑贯穿数据映射分析、合规差距分析等过程，一 述情形，可针对以上场景评估影响和风险，同时重视个人信息主体代表等相关方的咨询意见 的准确性。

GB/T39335—2020

附录C （资料性附录） 个人信息安全影响评估常用工具表

以下工具表（表C.1～表C.5)均为资料性工具，供组织进行评估时选取参考。工具表以个人信息 动/场景/特性或组件为维度，各表可基于此项进行整合或分开处理。建议组织采取IT化/自动 方式进行影响评估，

表C.1基于处理活动/场景/特性或组件的个人信息映射表

表C.2个人信息生命周期安全管理

C.3安全事件可能性分

2）涉及联合控制者的，请详细列举并说明。 3）涉及多个处理者的，请详细列举并说明。 4）如涉及，请填写表C.3相关内容。 5）如涉及，请填写表C.3相关内容， 6）此处可分为多行填写（每一行对应一项个人信息字段），也可合并处理

GB/T39335—2020

表C.5特定个人信息处理活动的安全风险评估

评估安全事件发生的可食

附录D （资料性附录） 个人信息安全影响评估参考方法

安全事件可能性等级评价可采用定性、半定量和定量的方式。安全事件可能性等级判定准则见 表D.1。

以定性方式为例，可从“网络环境和技术措施”“处理流程规范性”“参与人员与第三方”“安全态势及 业务特点”等方面，依据表D.1的判定准则，对安全事件可能性等级进行评价。可能性等级分为“很高 “高”“中”“低”四个等级，安全事件可能性判定可参考表D.2

表D.2可能性判定表

GB/T39335—2020

评估过程中，可根据事件自身的性质估计和经验数据评估其可能性，再根据组织所实施的针对性安 全控制措施、相关事件处置经验对可能性进行修正。比如，个人信息处理的规模超过1000万人，但有 完备的、针对性的个人信息保护措施和应急机制，或者已具备类似事件处置的经验，并得到了个人信息 主体的认同，则安全可能性等级可降低一个级别。在进行修正时需要具体说明修正的理由，必要时可咨 询外部专业组织保证修正过程的合理性

D.2评估个人信息主体权益影响程度

个人权益影响程度评价可采用定性、半定量和定量的方式。个人权益影响程度判定准则见表D.3

个人权益影响程度判定准

以定性方式为例，可从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损和遭受精神压力 身财产受损”四个维度，依据表D.3的判定准则，对个人信息主体的权益进行影响程度评价。影响 个为“严重”“高”“中”“低”四个等级，影响程度判定可参考表D.4

基坑标准规范范本表D.4影响程度判定表

评估过程中，可先分析个人信息处理活动对某一个个人信息主体造成的影响程度，再根据处理活动 的规模、特点、外部环境、个人信息去标识化、群体性特征等要素修正影响等级。比如，个人信息处理活 动涉及典型的个人敏感信息，如健康状况等，且达到一定的数量（如50万人），则影响程度可上升一个级 别；如果受影响个人信息主体群体抗财务风险能力差、心理承受能力差等情形，如未成年人、学生、老年 人等，则影响程度可上升一个级别；如果个人信息经去标识化后已确认降低敏感程度的，影响程度可降 低一个级别。在进行修正时需要具体说明修正的理由，必要时可咨询外部专业组织，保证修正过程的合 理性。 此外，从组织实践角度出发，可以进一步将个人信息主体权益的影响映射到对组织的影响，以促进 组织进一步认识到其中的风险。比如，可根据个人权益受损对组织付出的成本进行评价。成本一般包 括：违规成本（如监管处罚、诉讼费用、整改费用等）、直接的业务损失（如流失客户减少了业务收人等）、 名誉损失（如品牌形象受损、客户信任受损等）、内部企业文化损失（如企业执行力受损、价值观冲突引起

员工积极性下降等）等，以上方面还可以进行初步的半定量或定量分析（比如处罚的案例与罚金等），以 促进组织充分重视个人信息保护工作，积极改进，降低个人信息处理过程对个人权益的影响

烟草标准D.3个人信息安全风险综合评估

综合分析个人权益影响程度和安全事件可能性两个要素，得出风险等级，并给出相应的改进建议， 最终形成评估报告。风险等级可分为：严重、高、中、低四个等级。以定性分析为例，可参考表D.5。 组织可以根据自身业务特点和内部风险管理策略，设计科学、合理的风险等级判定表，并设定何种 等级风险为不可接受的风险，但注意保证风险等级判定表不得随意变更或修订，必要时可咨询外部专业 组织保证风险等级判定表的合理性

表D.5风险等级判定表